Universidade de Minesota introduz vulnerabilidade no kernel [RESOLVIDO]

phoemur
(usa Debian)

Enviado em 22/04/2021 - 12:50h

Universidade de Minesota introduz propositalmente, como prova de conceito, dezenas de falhas em dezenas de commits do kernel Linux, sem que ninguém percebesse

omag0
(usa Debian)

Enviado em 22/04/2021 - 13:32h

Eu vi isso. Que absurdo. Deixar milhares de pessoas vulneráveis para testar se os códigos, são de fato, revisados...
Tomara que levem processo também.

Delusion
(usa Debian)

Enviado em 22/04/2021 - 14:13h

bacana eles divulgarem.
deve ter muita coisa acontecendo por aí, sem o usuário final sequer imaginar...
nesse aspecto, as distros que trabalham com atualizações frenéticas(também conhecidas como rolling release) seriam as menos seguras?


Linux User # 624552

phoemur
(usa Debian)

Enviado em 22/04/2021 - 15:28h

É de se pensar se alguém ligado à NSA ou Partido Comunista Chinês não andaram fazendo uns commits nós últimos anos.

De qualquer forma, o pessoal do kernel uma hora dessas deve estar em um processo de auditoria muito grande.


______________________
https://github.com/phoemur

Giovanni_Menezes
(usa Devuan)

Enviado em 22/04/2021 - 17:07h

Comecei a me questionar sobre isso a alguns anos atrás quando o Debian mantinha um versão totalmente abandonada do qupzila, que já tinha sido substituído a muito tempo pelo falkon, do qual já estava na versão 3.1.

SamL
(usa XUbuntu)

Enviado em 22/04/2021 - 17:43h

Parece até uma vez quando um jornalista americano resolveu usar diversas "passadas" no google translate pra criar um artigo científico. O cara foi tão troll que conseguiu ter o artigo aprovado em revistas de renome que não lembro o nome agora. É tipo também como o sistema de patentes, tem gente que já patenteou a maneira de beber água e foi aprovado sem que ninguém questionasse.

"Errar é humano, mas errar de mais sou eu!" disse um burro

rerere

____________________________________________
https://nerdki.blogspot.com/ acessa aí vai lá, é grátis!
Capeta (demo) do meu trabalho:
https://github.com/cpusam

aguamole
(usa KUbuntu)

Enviado em 22/04/2021 - 22:51h

Esse é o único lado bom dessa experiencia, motivar a comunidade a passar um bom tempo fazendo revisão de código, quer dizer eu espero que tenha pessoas suficiente para fazer isso.


CPU i5-8400 GTX 750 SofRaid 4xSSD 16GB DDR4 mesmo assim uso Lubuntu.

niquelnausea
(usa Arch Linux)

Enviado em 22/04/2021 - 23:42h

aumente essa perspectiva a dezenas de governos e empresas. qualquer um com certo nível de poder ou conhecimento pode ter feito isso.

aguamole
(usa KUbuntu)

Enviado em 23/04/2021 - 10:52h

Você confia no projeto do kernel Linux, se você confia então pronto.
Eu confio, a Microsoft confia, o Google confia, você vai usar o que você confia.
Esse problema que deu ai só vai incentivar as pessoas a fazer mais revisão do kernel Linux.
Para mim quanto mais revisão melhor.
E tomara que mais hackers éticos apareça para tentar hackiar o kernel em busca de vulnerabilidades.

CPU i5-8400 GTX 750 SofRaid 4xSSD 16GB DDR4 mesmo assim uso Lubuntu.

Bagepa
(usa Arch Linux)

Enviado em 23/04/2021 - 13:12h

Isso serviu como uma prova de conceito, mesmo sendo antiético, foi similar ao "Caso Sokal" (pesquisem sobre se tiverem tempo).

No fim, a tal pesquisa acabou por cumprir a sua finalidade. Sendo assim, é possível enviar códigos comprometidos e/ou maliciosos para uma versão estável sem ninguém perceber ao se passar por um contribuidor com boas intenções.

Isso demonstra uma fragilidade extremamente negativa para o Linux e toda a comunidade de código-aberto.

Muita gente vai usar deste acontecido para atacar o Linux e o open-source. O interessante que o próprio Lunduke já avisou sobre isso, https://odysee.com/@Lunduke:e/LinuxSucks2021:1